Professional Documents
Culture Documents
KRZYSZTOF LIDERMAN
ANALIZA RYZYKA
I OCHRONA INFORMACJI
W SYSTEMACH
KOMPUTEROWYCH
I..
Projekt okładki: Michał Rosiński
Redakcja: Joanna Cierkońska Spis treści
Skład komputerowy: Krzysztof Świstak
Podziękowania....................................................................................................................... 6
Wstęp......................................................................................................................................7
Zastrzeżonych nazw firm i produktów użyto w książce wyłącznie w celu identyfikacj Rozdział 1. O informacji, bezpieczeństwie i systemie ochrony.............................................9
1.1. O informacji................................................................................................. 10
1.2. O bezpieczeństwie..................................................................................................... 11
1.3. O systemie ochrony informacji*............................................................................... 14
Copyright O by Wydawnictwo Naukowe PWN SA
Warszawa 2008 Rozdział 2. O procesach....................................................................................................... 25
2.1. Procesy biznesowe w analizie ryzyka....................................................................... 26
Rozdział 3. O zasobach, ich inwentaryzacji i klasyfikacji.................................................. 31
3.1. Inwentaryzacja zasobów teleinformatycznych.......................................................... 31
ISBN: 978-83-01-15948-1 3.2. Klasyfikacja zasobów teleinformatycznych.............................................................. 32
3.3. Ocena wartości zasobów informacyjnych................................................................. 35
Rozdział 4. O zagrożeniach i podatnościach....................................................................... 39
4.1. Rozważania o zagrożeniach...................................................................................... 40
4.2. Jak szukać zagrożeń - pytania i podpowiedzi........................................................... 49
4.3. Burza mózgów - przykład techniki identyfikacji zagrożeń...................................... 53
Wydawnictwo Naukowe PWN SA 4.3.1. Generowanie zagrożeń/scenariuszy............................................................... 56
02-676 Warszawa, ul. Postępu 18
4.3.2. Redukcja zbioru zagrożeń.............................................................................. 56
tel. (0 22) 69 54 321
faks (0 22) 69 54 031 4.3.3. Nadawanie priorytetów scenariuszom............................................................ 56
infolinia 0 801 33 33 88 4.4. Podatności.................................................................................................................. 57
e-mail: pwn@pwn.com.pl Rozdział 5. O pomiarach bezpieczeństwa teleinformatycznego..........................................59
www.pwn.pl
5.1. Pomiar........................................................................................................................ 61
5.2. Elementy formalnej teorii pomiaru*.......................................................................... 62
5.3. Omówienie wymagań definicji pomiaru................................................................... 64
Wydanie pierwsze, dodruk 1 5.3.1. Określenie przedmiotu pomiaru..................................................................... 64
Arkuszy drukarskich 18
5.3.2. Przyporządkowanie liczb (miar).................................................................... 64
Druk ukończono w kwietniu 2009 r.
Druk i oprawa: 5.3.3. Obiektywność................................................................................................. 65
Podlaska Spółdzielnia 5.3.4. Empiryczność................................................................................................. 66
Produkcyjno-Handlowo-Usługowa 5.4. Uwagi końcowe o „mierzeniu” bezpieczeństwa........................................................ 66
Białystok, ul. 27 Lipca 40/3,
tel./fax (085) 675-48-02
4 Analiza ryzyka i ochrona informacji w systemach komputerowych Spis treści 5
Rozdział 6. O ryzyku i zarządzaniu ryzykiem...................................................................... 69 9.3.2. Przesłanki budowy „w głąb” systemu ochrony........................................... 188
6.1. Ryzyko a problemy decyzyjne*............................................................................... 71 9.4. Architektura systemu bezpieczeństwa teleinformatycznego....................................188
6.2. Charakterystyka procesu zarządzania ryzykiem....................................................... 76 9.5. Analiza i projektowanie systemu bezpieczeństwa teleinformatycznego................. 192
6.3. Analiza ryzyka - identyfikacja zagrożeń, podatności i środowiska......................... 78 9.5.1. Etap analizy...................................................................................................192
6.4. Identyfikacja wymagań dotyczących poziomu ochrony........................................... 81 9.5.2. Etap projektowania........................................................................................193
6.5. Analiza ryzyka - szacowanie ryzyka........................................................................ 83 9.5.3. Wzorce projektowe.......................................................................................196
6.5.1. Oszacowanie ryzyka - metoda ilościowa (studium przypadku)................... 86 9.6. Ograniczenia procesu projektowania........................................................................197
6.5.2. Oszacowanie ryzyka - metoda jakościowa (wytyczne raportu 9.7. Dokumentowanie prac projektowych.......................................................................197
technicznego ISO/IEC TR 13335-3)............................................................. 91 Załącznik. Metodyka L-RAC analizy i kontrolowania ryzyka w zakresie
6.5.3. Szacowanie ryzyka - analiza bezpieczeństwa systemów sterowania........... 99 bezpieczeństwa teleinformatycznego.................................................................................. 201
6.6. Reakcja na ryzyko....................................................................................................102
6.6.1. Kontrolowanie ryzyka poprzez stosowanie zabezpieczeń.......................... 104 Literatura.......................................................................... 279
6.6.2. Akceptacja ryzyka szczątkowego................................................................ 109
6.6.3. Ryzyko akceptowalne i koszty postępowania z ryzykiem.......................... 111
Skorowidz........................................................................................................................... 285
6.7. Administrowanie ryzykiem......................................................................................115
6.7.1. Zadania, czynności i zakresy kompetencji - organizacja procesu
zarządzania ryzykiem................................................................................... 117
6.8. Podsumowanie rozważań o analizie ryzyka.............................................................122
Rozdział 7. O testowaniu i audycie....................................................................................... 125
7.1. Przegląd rodzajów badań.........................................................................................125
7.2. Ocena bezpieczeństwa teleinformatycznego............................................................127
7.3. Audyt........................................................................................................................129
7.4. Audyt i certyfikowanie SZB I.................................................................................. 142
Rozdział 8. O standardach......................................... 149
8.1. Common Criteria i norma ISO/IEC 15408............................................................. 151
8.2. COBIT™- standard ładu informatycznego...............................................................161
8.3. BS 7799 i norma PN-ISO/IEC 27001:2007: Technika informatyczna -
Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji -
Wymagania...............................................................................................................164
8.3.1. Zawartość normy PN-ISO/IEC 27001:2007: Technika informatyczna -
Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem
informacji - Wymagania...............................................................................166
8.3.2. System zarządzania bezpieczeństwem informacji (SZBI)............................169
8.3.3. Normatywny zbiór zabezpieczeń - załącznik A normy PN-ISO/IEC 27001173
Rozdział 9. O projektowaniu................................................................................................. 177
9.1. Cykl życia systemu bezpieczeństwa teleinformatycznego.......................................178
9.2. Zarządzanie projektowaniem i budową systemu bezpieczeństwa
teleinformatycznego.................................................................................................181
9.3. System bezpieczeństwa teleinformatycznego - koncepcja......................................183
9.3.1. Kompleksowość i dekompozycja.................................................................184
r
Rozdział 6
Według normy IEC 61508, wiążącej pojęcie ryzyka z pojęciem hazardu (por.
podrozdział 6.4.3):
(...) r y z y k o j e s t m ia r ą s to p n ia z a g r o ż e n ia , w y r a ż a j ą c ą z a r ó w n o s to p i e ń
s z k o d liw o ś c i h a z a r d u , j a k i p r a w d o p o d o b i e ń s tw o j e g o w y s tą p ie n ia .
2
Na przykład: ile systemów komputerowych w Internecie ma podatności, które mogą być
i
Należy jednak odnotować, że w analizie ryzyka w zastosowaniach finansowych operuje wykorzystane przez konkretnego robaka internetowego?
3
się zarówno zyskami, jak i stratami (por. także rozważania w rozdziale 6 .1). Na przykład liczba systemów komputerowych zainfekowanych w ciągu 24 godzin.
72 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 73
zbioru jej możliwych wartości xh x2, xn i odpowiadających im prawdopodobieństw Model probabilistyczny takiego zagrożenia:
Pi, P2, Pn-
X| 0 1
Przykład 6.1
Niech: będzie dane doświadczenie elementarne - obserwacja możliwości realizacji Pi 0,6 0.4
pojedynczego zagrożenia (np. próby ataku DoS typu P in g F lo o d ) dla konkretnego
systemu komputerowego (tj. badamy, czy przynajmniej raz w ciągu roku taki atak
miał miejsce). Wtedy: Wartością oczekiwaną zmiennej losowej X, mogącej przyjmować wartości Xi,
- wynik (zmienna losowa X): realizacja zagrożenia; ..., xk odpowiednio z prawdopodobieństwami p( pk, nazywamy średnią ważoną tych
wartości, z prawdopodobieństwami jako wagami:
- wartość wyniku jest liczbą ze zbioru dwuelementowego {(), 1} ;
- wartościom liczbowym nadajemy następującą interpretację: E(X) = Xip1+x2p2+ ... +xkpk
Xi = 1 zagrożenie zrealizowane Wynikiem eksperymentu statystycznego (dalej oznaczanego przez Z) będziemy
x2= 0 zagrożenie niezrealizowane nazywali wyniki wykonania jednej lub wielu obserwacji pewnej wielkości losowej,
o której sądzi się, że w pewnym problemie decyzyjnym ma istotne związki wewnętrz-
ne z tzw. stanem przyrody. Jeżeli stan ten jest znany, to wybór właściwego działania
Z przytoczonego przykładu wynika, że w praktyce analizy ryzyka na potrzeby (decyzja) jest zwykle rzeczą prostą. W praktyce najczęściej będziemy mieli do czy-
bezpieczeństwa teleinformatycznego często będzie interesujące tylko to, czy wynik nienia z podejmowaniem decyzji przy niepełnej znajomości stanu przyrody. Zakłada
końcowy ma pewną cechę (przypisujemy mu wtedy wartość 1), czy też jej nie ma się zwykle, że następstwa działań (czyli również decyzji) mogą być mierzone na skali
(przypisujemy mu wtedy wartość 0). Wynik jest wtedy zmienną losową X o dwu liczbowej. Miarą następstw jest tzw. użyteczność, będąca zwykle także podstawą
wartościach możliwych [0, 1] i rozkładzie prawdopodobieństwa określonym przez wyboru decyzji. Jeżeli w trakcie procesu decyzyjnego wolno nam wykonywać pewne
podanie wartości p. Taka zmienna losowa jest nazywana zmienną Bernoullego (albo doświadczenia losowe, których wyniki są związane ze stanem przyrody, to mamy do
zmienną zerojedynkową). We wspomnianej praktyce zbieranie danych (pobieranie czynienia ze statystycznym procesem decyzyjnym, a wyniki takich doświadczeń
„próbek”) przebiega według schematu Bernoullego - informacja o wynikach pew- losowych nazywamy obserwacjami. W obszarze bezpieczeństwa teleinformatycznego
nych prób nie zmienia szans uzyskania wyników w innych próbach. O takich do- takimi doświadczeniami losowymi są np. badania przeprowadzane w ramach audytów
świadczeniach (w praktyce - obserwacjach) mówi się, że są niezależne. bezpieczeństwa teleinformatycznego (por. rozdział 7.3).
Składowymi problemu decyzyjnego są więc [22]:
Przykład 6.2
- zbiór dopuszczalnych stanów przyrody,
Jeżeli obserwacje pewnego zagrożenia prowadzimy przez długi okres (np. 10 lat, tj.
- zbiór dostępnych działań,
liczba prób=10), to:
- straty związane ze wszystkimi kombinacjami stanu przyrody i działania.
P(X=x,) = p
P(X=x2) = 1-p Precyzując, można powiedzieć, że elementami określającymi problem decyzyj-
Przyjmijmy, że dla dla obserwacji dziesięcioletniej uzyskano następujące wyniki: ny bez obserwacji są:
zbiór © stanów przyrody 0 (np. system komputerowy osadzony w konkretnym
Rok 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 środowisku, z konkretnym stanem ochrony),
X 1 0 0 0 1 0 0 1 1 0 - zbiór A dostępnych działań a (np. wszystkie możliwe przeciwdziałania zagroże-
niom),
- funkcja strat 1(0,a), której wartość reprezentują straty wywołane podjęciem
działania a przy stanie przyrody 0.
74 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 75
Biorąc pod uwagę jedynie powyższe składowe, rozwiązujemy problem wyboru otrzymuje się następujące wyrażenie dla funkcji ryzyka:
najlepszego działania, nazywany problemem decyzyjnym bez obserwacji. Dołączenie
kolejnej składowej: R(0, d) = X 1(6, d(Zi)) Pe (Z=Zi)
i
- spostrzeżeń doświadczalnych (obserwacji) dotyczących stanu przyrody, Zapis ten można zinterpretować następująco:
daje nam ogólny statystyczny problem decyzyjny, tj. problem znalezienia najlepsze-
go działania na podstawie obserwacji, gdy struktura strat jest znana, a stan przyrody ryzyko = strata x prawdopodobieństwo zdarzenia przynoszącego stratę
nieznany. W to ryzyko jest włączona decyzja, której nie podejmuje obserwator - osoba prowa-
Należy wyjaśnić, że działania lub zaniechanie działań (podejmowane w wyniku dząca analizę ryzyka, zbierając informacje o zagrożeniach, podatnościach i prawdopo-
podjęcia określonej decyzji), wykonywane w ramach analizy ryzyka i ochrony infor- dobieństwie wykorzystania podatności przez zagrożenie. Chyba że ta decyzja będzie
macji w systemach teleinformatycznych będą zmniejszały potencjalne straty. Od interpretowana jako: decyzja, która kiedyś została podjęta przy budowie obserwowa-
strony formalnej natomiast przyjmuje się zwykle, że efektem decyzji jest strata, nego systemu komputerowego i która dotyczyła zastosowanych mechanizmów
i minimalizuje się ją. ochronnych.
W analizie ryzyka na potrzeby bezpieczeństwa teleinformatycznego przyjmuje Oznacza to, że przy oszacowaniach ryzyka na potrzeby bezpieczeństwa telein-
się, że dysponujemy obserwacjami Z dotyczącymi prawdopodobieństwa realizacji formatycznego mamy do czynienia z oceną funkcji a. Istotne problemy decyzyjne
zagrożeń. Szczegóły dotyczące uzyskiwania takich danych są opisane w rozdziale 6.4. związane ze zmianą wartości ryzyka pojawiają się w drugiej części procesu zarządza-
Można zatem stwierdzić, że problem decyzyjny, który należy rozwiązać w tym wy- nia ryzykiem, gdy podejmujemy decyzje o sposobach redukcji ryzyka (por. rozdział
padku, jest problemem rozwiązywanym z użyciem obserwacji, czyli że istnieje 6.5), np. zastosowaniu takich, a nie innych zabezpieczeń w celu zminimalizowania
reguła (zbiór wskazówek, procedura), która każdej możliwej wartości obserwacji ze Z ryzyka.
przypisuje jedno z dostępnych działań (dokładniej - przeciwdziałań, np. w postaci Wartość funkcji ryzyka można więc wyliczyć jako średnią ważoną różnych war-
zabezpieczeń, por. też rozdział 6.5 o redukcji ryzyka). tości strat losowych. Minimaksową funkcją decyzyjną jest ta funkcja, dla której mak-
Zatem po przeprowadzeniu stosownego doświadczenia losowego (obserwacji) symalne ryzyko jest najmniejsze. W wypadku stosowania podejścia minimaksowego
i uzyskaniu wartości Z, np. Z=z, (o interpretacji np. w y k r y to r o b a k a in t e r n e t o w e g o wynik rozwiązania problemu decyzyjnego może zależeć od tego, czy za kryterium
w s y s te m i e ) wartości tej przypisane już jest przez regułę odpowiednie działanie a (np. przyjęto straty, czy szkody. Są dwa sposoby (dające ten sam wynik) wprowadzenia
ś c ią g n ij n a j n o w s z e s y g n a tu r y , u ru c h o m p r o g r a m a n ty w ir u s o w y ) . Reguła ta jest funk- pojęcia szkody:
cją cc=d(z), nazywaną funkcją decyzyjną. - przez odniesienie jej do pierwotnej funkcji strat,
Strata ponoszona w wyniku działania wyznaczonego przez daną funkcję decy- - przez odniesienie jej do funkcji ryzyka, czyli oczekiwanej wartości strat.
zyjną d(z) zależy nie tylko od aktualnego stanu przyrody, lecz również od obserwo-
wanej wartości Z (np. częstości skutecznych ataków robaka internetowego na obser- Funkcja szkód (zaniechania optymalizacji) jest zdefiniowana następująco:
wowany system). Traktuje się ją jako zmienną losową, więc ponoszona strata 1(0, d(Z))
r(0,aj) = 1(0, aj) - min 1(0,a)
jest też zmienną losową. Wielkością reprezentującą straty losowe w podejmowaniu a
decyzji jest wartość oczekiwana strat:
Oznacza to, że dla każdego stanu przyrody szkodę wyznacza się, odejmując
R(0,d) = E[1(0, d(Z))] stratę minimalną od straty związanej z danym stanem (z czym mamy do czynienia,
gdy decydent nie bierze pod uwagę stanu przyrody i nie wybiera działania dającego
Wielkość ta, zależna od stanu przyrody 0 i od użytej reguły decyzyjnej d, nazy-
minimum strat). Gdy na problem spojrzy się ze strony zysków, to nazywa się go też
wana jest funkcją ryzyka. Przyjmując dla Z dyskretny rozkład prawdopodobieństwa
stratą sposobności.
określony przez:
Można dowieść [22], że wartość oczekiwana szkody jest równa:
Pe (Z=z) - f(z, 0)
E[r(0, d(z))] = R(0, d) - min R(0, d)
d
76 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 77
Przyjmując podaną w rozdziale 1.3 definicję 1.4 systemu bezpieczeństwa dla sys- Można chyba stwierdzić, że obecnie mamy do czynienia ze swoistą modą na wi-
temu teleinformatycznego, wykorzystaną następnie do zdefiniowania (definicja 1.9) dzenie wszystkich aspektów działalności biznesowej firmy przez pryzmat ryzyka5. Ma
mierzalnego stanu ochrony (czyli w kontekście rozważań tego rozdziału - stanu przy- to przełożenie również na problematykę bezpieczeństwa teleinformatycznego, nie-
rody), otrzymujemy możliwe działania związane z STOt, mające wpływ na poziom zmiernie istotną we współczesnych, wysoko zinformatyzowanych firmach.
ryzyka: Dobrym przykładem6 uzasadniającym to stwierdzenie jest np. treść normy [56]
- w zakresie kontroli ryzyka (por. rozdział 6.6.1) - dobór, instalacja i konfiguracja (dokładniejszy opis zamieszczono w rozdziale 8.3). Norma została przygotowana dla
zabezpieczeń BT (czyli działania w zakresie budowy, głównie części technicznej, kierownictw przedsiębiorstw oraz ich personelu w celu przedstawienia modelu oraz
systemu ochrony); ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymywania i do-
- w zakresie transferu ryzyka (por. rozdział 6.6) - usunięcie obiektu ze zbioru 0 T skonalenia systemu zarządzenia bezpieczeństwem informacji (dalej w skrócie SZBI,
i - co się z tym wiąże - podatności związanych z tym obiektem ze zbioru RT. jako tłumaczenie angielskiego ISMS - Information Security Management System).
Do podstawowych elementów takiego modelu należą (podajemy za normą):
Z punktu widzenia osób zajmujących się bezpieczeństwem teleinformatycznym, system zarządzania bezpieczeństwem informacji (SZBI):
tylko pierwsze z wymienionych działań leży zwykle w ich kompetencjach. Decyzje to część całościowego systemu zarządzania, oparta na podejściu wynikającym
dotyczące pozostałych możliwości minimalizacji ryzyka (unikania, transferu i retencji) z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji,
są zwykle poza kompetencjami tych osób i należą do zarządu firmy lub firmowych monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji. SZBI
menedżerów ryzyka. Nie oznacza to, oczywiście, że osoby związane z zapewnianiem obejmuje strukturę organizacyjną, polityki, działania planistyczne, zakresy od-
bezpieczeństwa teleinformatycznego są całkowicie odsunięte od takich procesów powiedzialności, praktyki, procedury, procesy i zasoby.
decyzyjnych - wręcz przeciwnie, ich opinia o możliwości wdrożenia i skutkach pod-
deklaracja stosowania (ang. s ta te m e n t o f a p p lic a b ility )'.
jętych decyzji powinna być starannie rozważona przez decydentów.
dokument, w którym opisano cele stosowania zabezpieczeń oraz zabezpieczenia,
które odnoszą się i mają zastosowanie w SZBI danej organizacji, oparte na rezulta-
6.2. Charakterystyka procesu zarządzania ryzykiem tach i wnioskach wynikających z procesów szacowania i postępowania z ryzykiem.
Zarządzanie ryzykiem to systematyczne stosowanie polityki, procedur i praktyki Jak można zauważyć, kluczowym elementem proponowanego w normie modelu
zarządzania do ustalania kontekstu ryzyka, jego identyfikowania, analizowania, wy- jest zarządzanie ryzykiem. W załączniku zamieszczono opis metodyki analizy i kon-
znaczania, postępowania z ryzykiem oraz monitorowania i komunikowania ryzyka troli ryzyka L-RAC, zawierający wyciąg z normy, punktujący te jej fragmenty, w któ-
(definicja za PN-IEC 62198 [59]). Zagadnienia zarządzania ryzykiem nabierają coraz rych jest mowa o ryzyku i zarządzaniu ryzykiem. Gdy mowa o analizie ryzyka w kon-
większego znaczenia w działalności biznesowej firm na całym świecie, czego przy- tekście bezpieczeństwa teleinformatycznego, należy mieć na uwadze m.in. jej związki
kładem jest pojawienie się nowej specjalności zawodowej „menedżer ryzyka” oraz z analizą ryzyka biznesowego firmy oraz zależności między osobami uwikłanymi
różnego rodzaju stowarzyszeń tej grupy zawodowej (por. źródła internetowe zamiesz- w ocenę (i zarządzanie) ryzyka biznesowego firmy i ryzyka związanego z bezpieczeń-
czone na końcu niniejszego opracowania). Również w Polsce zostało powołane przez stwem informacji przetwarzanych, przesyłanych i przechowywanych w firmowych
prezydenta PKPP (Polskiej Konfederacji Pracodawców Prywatnych) Lewiatan w dniu systemach teleinformatycznych, a także zakresy odpowiedzialności tych osób.
5 września 2005 r. Forum Menedżerów Ryzyka. Jego celem jest upowszechnienia Dla menedżera zajmującego się ryzykiem biznesowym ryzyko związane z prze-
problematyki zarządzania ryzykiem wśród członków PKPP Lewiatan i wypracowanie twarzaniem informacji w firmowych systemach teleinformatycznych będzie tylko
wspólnego profesjonalnego podejścia do zarządzania ryzykiem oraz stworzenie naj-
lepszych praktyk na rynku polskim na podstawie międzynarodowych standardów4.
Obecną modę na ryzyko poprzedziła moda z przełomu XX/XXI wieku na „widzenie”
działalności biznesowej firmy przez pryzmat procesów biznesowych - przykładem są
chociażby zmiany zachodzące w kolejnych wydaniach serii norm z zakresu jakości, tj.
ISO/IEC 9000.
13 października 2005 roku Rada Główna PKPP Lewiatan podjęła uchwałę o przystąpie- Innym przykładem są zalecenia standardu COBIT, gdzie w domenie „Planowanie i orga-
niu do Federation of European Risk Management Associations (FERMA). nizacja” proces P09 to „szacowanie ryzyka”.
78 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 79
jednym z wielu mogących mieć wpływ na osiąganie celów biznesowych firmy. Dla
osoby odpowiedzialnej za bezpieczeństwo teleinformatyczne7 i zwykle będącej tzw. ZARZĄDZANIE RYZYKIEM
właścicielem ryzyka IT w kontekście całościowego ryzyka biznesowego, to „ryzyko i------------------------------------------------
IT” jest jedyne i najważniejsze, ponieważ ma wpływ na skuteczne zarządzanie bez- Identyfikacja:
pieczeństwem teleinformatycznym (co jest podstawowym zadaniem takiej osoby). - zakresu analizy ryzyka
Dalsze rozważania w niniejszym rozdziale dotyczą przede wszystkim tej części - zagrożeń
zarządzania ryzykiem biznesowym, która jest związana z przetwarzaniem informacji - podatności
w firmowych systemach IT. Rzetelne potraktowanie tematyki wymaga jednak przed- - potencjalnych strat
stawienia analizy ryzyka na potrzeby bezpieczeństwa teleinformatycznego w szerszym
kontekście biznesowej analizy ryzyka
Oszacowanie ryzyka
Zarządzanie ryzykiem (na potrzeby bezpieczeństwa teleinformatycznego) ma na
celu:
- wykazanie, którego ryzyka i jak można uniknąć, stosując rozwiązania organiza- Ocena ryzyka
cyjne i techniczne w zakresie przetwarzania, przesyłania i przechowywania in-
formacji w firmowych systemach IT;
- zapewnienie optymalnego, ze względu na koszty i znane/zadane ograniczenia, Opracowanie zasad postępowania
stanu ochrony powyższych informacji; z ryzykiem w zakresie jego:
zminimalizowanie ryzyka szczątkowego tak, aby stało się akceptowalne. - unikania
- kontrolowania
Uznane standardy zarządzania ryzykiem - brytyjski Risk Management Standard - transferu
promowany przez FERMA (Federation of European Risk Management Associations) - retencji
oraz australijski AS/NZS 4360 - są zgodne co do wyodrębnienia, przedstawionych na
rysunku 6.1, podstawowych elementów zarządzania ryzykiem. Te ogólne elementy
zostaną uszczegółowione (w kontekście ryzyka związanego z przetwarzaniem infor- Akceptacja ryzyka szczątkowego
macji w firmowych systemach IT) w kolejnych rozdziałach. Szczególna uwaga w za-
kresie postępowania z ryzykiem będzie zwrócona na jego kontrolowanie, ponieważ
Rysunek 6.1. Podstawowe elementy procesu zarządzania ryzykiem
należy ono do rutynowych zadań personelu technicznego działów IT (administrato-
rów) i osób odpowiedzialnych za bezpieczeństwo teleinformatyczne.
określonych zagrożeń w sposób strukturalny i pozwalający na ich porównanie. Ana-
liza ryzyka prezentowana w niniejszej książce jest wariantem ogólnej analizy ryzyka.
6.3. Analiza ryzyka - identyfikacja zagrożeń, W celu utrzymania zadanego stanu bezpieczeństwa teleinformatycznego, na któ-
podatności i środowiska ry mają wpływ zmiany zagrożeń oraz zmiany organizacyjne w firmie i sprzętowo-
programowe w eksploatowanych systemach teleinformatycznych, zaleca się systema-
Pokazane na rysunku 6.1 czynności identyfikacji (środowiska, zagrożeń, podat- tyczne przeprowadzanie analizy ryzyka - jej wyniki stanowią podstawę do ewentual-
ności, potencjalnych strat) oraz oszacowania i oceny ryzyka nazywa się zwykle ana- nych działań modyfikujących system ochrony.
lizą ryzyka (ang. r is k a n a ly s i s ) . Wynikiem rozpoznania zagrożeń i środowiska Wstępną czynnością w analizie ryzyka jest identyfikacja zagrożeń i podatności.
(podatności i wymagań) powinno być opisanie ryzyka, tzn. przedstawienie cech Zidentyfikowane zagrożenia sugeruje się sklasyfikować, z biznesowego punktu wi-
dzenia, w następujące grupy [31J:
Na przykład pełnomocnika ds. bezpieczeństwa lub administratora bezpieczeństwa telein- - strategiczne (wpływające na długoterminowe cele firmy),
formatycznego. - operacyjne (wpływające na codzienne funkcjonowanie firmy),
80 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 81
- finansowe (związane z bezpośrednimi działaniami finansowymi i kapitałem firmy), 6.4. Identyfikacja wymagań dotyczących poziomu
- informacyjne (wpływające na bezpieczeństwo firmowych zbiorów informacji), ochrony
- zgodności (wpływające na utrzymywanie zgodności z obowiązującymi regula-
cjami prawnymi). Określenie pożądanego poziomu ochrony jest konieczne w procesie analizy ry-
zyka do:
Można też, jako kryterium klasyfikacji, przyjąć ich związek z konkretną fir- ustalenia wymaganych środków ochronnych (zabezpieczeń),
mą/organizacją. W takim wypadku zwykle wyróżnia się:
podjęcia decyzji o akceptacji ryzyka szczątkowego.
1. Zagrożenia niewymagające wiedzy z danej dziedziny (tj. związanej z konkretną
firmą/organizacją), np.: Wymagany poziom ochrony powinien być określony w „Polityce bezpieczeństwa
- zagrożenia katastrofami naturalnymi (pożar, powódź itp.), teleinformatycznego” (jeśli taki dokument w firmie istnieje, szczegóły por. np. [15]
- zagrożenia typu „zatrzymanie działalności” (ang. b u s in e s s in te r r u p tio n , BI). lub rozdział 1 w [16]) i odnosić się do kluczowych procesów biznesowych oraz zwią-
zanych z nimi zasobów informacyjnych. Pożądane poziomy ochrony określają zwykle
2. Zagrożenia wymagające wiedzy z danej dziedziny (tj. związanej z konkretną
członkowie zarządu firmy, wspomagani przez właścicieli zasobów.
firmą /organizacją), np.:
Przesłanki do określenia poziomu ochrony zasobów informacyjnych firmy prze-
- utrata kluczowych pracowników,
twarzanych, przesyłanych i przechowywanych w systemach teleinformatycznych to:
- utrata kluczowego klienta,
1. Potencjalne skutki błędów w ochronie informacji i dostępności usług świadczo-
- utrata reputacji, nych przez systemy teleinformatyczne. W tym wypadku wymagane poziomy
- awaria systemów IT. można określić wstępnie na przykład według następującej skali:
- bardzo wysoki - gdy błędy w ochronie informacji konkretnych systemów te-
W wypadku identyfikacji zagrożeń na potrzeby bezpieczeństwa teleinformatycz-
leinformatycznych prowadzą do całkowitego załamania działalności bizneso-
nego można przyjąć przedstawioną w rozdziale 4 klasyfikację zagrożeń jako podstawę
wej firmy lub mają szerokie niekorzystne skutki społeczne albo gospodarcze;
do ich szczegółowej identyfikacji i opisania.
- wysoki - gdy błędy w ochronie informacji konkretnych systemów teleinfor-
W wypadku rozpoznawania środowiska analizy ryzyka na potrzeby bezpieczeń-
matycznych naruszają zdolność do działania centralnych organów firmy,
stwa teleinformatycznego istotna jest także identyfikacja podatności jako podstawa
a szkody z tego wynikłe dotyczą samej firmy i podmiotów trzecich;
przyszłych działań w zakresie minimalizacji ryzyka. Przegląd i klasyfikacja podatno-
ści zostały przedstawione w rozdziale 4.3. - średni - gdy błędy w ochronie informacji konkretnych systemów teleinfor-
matycznych szkodzą tylko firmie;
Przedstawione klasyfikacje uszczegółowiają i pokazują zakres objęty nadzorem
i działaniami osób odpowiedzialnych w firmie za bezpieczeństwo teleinformatyczne. - niski - gdy błędy w ochronie informacji konkretnych systemów teleinforma-
Pokazują także, jakie elementy powinny zostać uwzględnione w wypadku analizy tycznych przynoszą firmie tylko niewielkie szkody.
ryzyka na potrzeby bezpieczeństwa teleinformatycznego. Zwykle źródłem informacji 2. Cele, które kierownictwo firmy chce osiągnąć dzięki wdrożonym środkom
na temat zagrożeń i wywoływanych przez nie szkód jest analiza szkód własnych ochronnym i systemowi zarządzania bezpieczeństwem informacji, np.:
i znanych na rynku. Może polegać na przeglądzie i kompilacji własnych (firmowych) - zapewnienie dobrej marki firmy na rynku;
baz danych i raportów na temat szkód, a także przeglądzie dostępnych archiwów firmy - zabezpieczenie ciągłości pracy w firmie/organizacji;
oraz np. materiałów prasowych pod kątem określonych zdarzeń u konkurentów.
- zapewnienie realizacji przepisów prawnych, np. o ochronie tajemnicy pań-
Dobrym źródłem informacji są też analizy szkód prowadzone przez ubezpieczyciela.
stwowej lub danych osobowych;
Inne wskazówki metodyczne związane z opisem środowiska analizy ryzyka (w tym
procesów kluczowych i krytycznych) są zawarte w rozdziale 2. - zagwarantowanie niezawodności procesów handlowych w aspekcie termino-
wości (dostępność informacji), dokładności (integralność informacji) oraz ich
poufności.
82 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 83
W wypadku zasobów informacyjnych pożądane poziomy ochrony powinny być i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy infor-
przyporządkowane do każdego z podstawowych atrybutów bezpieczeństwa informa- matyczne służące do przetwarzania danych osobowych, Dz. U. z 2004 r. Nr
cji: tajności, integralności i dostępności, co ilustruje tabela 6.1. 100, poz. 1024).
Tabela 6.1. Określanie poziomu ochrony (przykład) Miary takie są często zawarte w sformułowaniach umów, np.: „(...) wykonać sys-
tem zabezpieczeń gwarantujący dostępność usług, świadczonych przez firmę w Inter-
necie, na poziomie 99,999%”.
Nr Nazwa i rodzaj Atrybuty Poziom Uzasadnienie
zasobu informacji ochrony
Przy analizie kombinacji zdarzeń dających różne wielkości PML przyjmuje się
najczęściej „czarny scenariusz”, tj. wielkości praktycznie najbardziej niekorzystne dla
Niska Wysoka
firmy". Wariantem analizy jakościowej jest dość często stosowane w analizie ryzyka
możliwość realizacji zagrożenia
oszacowanie częstościowe, gdzie podaje się oczekiwaną liczbę badanych zdarzeń
w pewnym okresie (np. roku). Rysunek 6.2. Mapa ryzyka - przykład
Przykład 6.3
żonym liczbą z przedziału [0,1] - a zastosowanym w przykładzie 6.3 podejściem czy-
Niech możliwość całkowitego spalenia serwerowni (zagrożenie) wynosi raz na 20 lat stościowym, nazywanym także potocznie „prawdopodobieństwem”.
(tj. 1:20), a poniesione w takim wypadku całkowite straty12 niech wynoszą 100 tys. zł.
Metoda ilościowa oznacza, że prawdopodobieństwo interesującego zdarzenia
Niech możliwość kradzieży służbowego laptopa (zagrożenie) o wartości 10 tys. zł wy- wyliczane jest na podstawie danych statystycznych, tzn. obserwuje się dany obiekt
nosi raz na 2 lata (tj. 1:2). W obu wypadkach wartości ryzyka będą identyczne: (np. laptop) przez zadany okres (np. 2 lata) i w tym czasie odnotowuje się, ile razy
Ryzyko (serwerownia) = 100 000x 1/20 = 5 000 nastąpiło określone zdarzenie (np. próba kradzieży), licząc zarówno próby nieudane,
Ryzyko (laptop) = 10 000x 1/2 = 5 000 jak i udane. Prawdopodobieństwo 0,1 w tym wypadku może oznaczać, że w ciągu
2 lat nastąpiło 10 prób kradzieży, z których tylko jedna się powiodła.
W wypadku podejścia czystościowego wiemy tylko tyle, że powiodła się jedna
W tym przykładzie widać wyraźnie, że „ryzyko” i „zagrożenie” (lub precyzyj- próba kradzieży w ciągu 2 lat. Widać wyraźnie, że różna jest użyteczność „informa-
niej: możliwość realizacji zagrożenia) to nie to samo. Niestety, terminy „ryzyko” cyjna” obu podejść - w drugim wypadku nie ma żadnych przesłanek pozwalających
i „możliwość realizacji zagrożenia” często są stosowane zamiennie, co może prowa- wnioskować np. o sile systemu ochrony laptopa przed kradzieżą ani o liczbie obser-
dzić (i często prowadzi) do nieporozumień i błędów w oszacowaniach. wowanych zdarzeń w zadanym przedziale czasu. Używane tutaj „prawdopodo-
Warto w tym miejscu zastanowić się także nad różnicami między podejściem ilo- bieństwo” jest odwrotnością liczby lat oddzielających jedno zdarzenie od drugiego.
ściowym, gdzie operuje się miarą zdarzenia losowego - prawdopodobieństwem wyra- W praktyce zdarzeniom następującym więcej niż raz w roku przypisuje się „prawdo-
podobieństwo” równe 1, a wartość PML ustala na poziomie sumy strat z całego roku.
Oszacowanie częstościowe jest często stosowane, co wynika głównie z braku da-
czyli maksymalna możliwa strata, stosowany zwykle w wypad-
P o ss ib le m ak sim um loss, nych empirycznych zbieranych w sposób wcześniej wzmiankowany. Zwykle dostępne
ku katastrof (pożar, powódź, trzęsienie ziemi itd.) oraz zdarzeń typu BI. są zapisy (w aktach, dziennikach eksploatacji, prasie itp.), że pewne wydarzenie nastą-
Istotna jest umiejętność oceny, który czarny scenariusz jest jeszcze realny, a który już nie. piło. Poza tym z biznesowego (ale nie technicznego) punktu widzenia istotny jest okre-
Odrębnym zagadnieniem jest liczenie strat, które w tym wypadku muszą uwzględniać nie ślony skutek, a nie przyczyny - nie musimy się zajmować tym, czy przyczyną np. utraty
tylko wartość fakturową spalonego wyposażenia, ale także np. koszty odtworzenia dzia- tajności informacji był atak zdalny, atak wewnętrzny czy błędy w organizacji pracy.
łania systemów teleinformatycznych (w tym koszty utraty informacji).
86 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 87
Za b e zp ie c z e n ia
Na rysunku 6.3 przedstawiono drzewo zdarzeń wraz z pogrubioną ścieżką penetracji,
k o ry ta rz a p rz e p u ś c iły
odpowiadającą próbie fizycznego dostania się nieupoważnionej osoby do wskazanego in tru za
komputera i uruchomienia na nim sesji.
Interpretacja podatności może być następująca:
ri - niedbale wykonywanie obowiązków przez strażnika (nie porównał osoby ze
zdjęcia z osobą okazującą przepustkę);
r2 - źle wyszkoleni użytkownicy, np.:
- użytkownik nie zgłosił kradzieży karty magnetycznej,
- użytkownik zapisał PIN flamastrem na odwrocie karty,
- używane było słabe hasło (nazwisko użytkownika).
r3- brak okresowych kontroli siły haseł przez administratora ds. bezpieczeństwa
Jeżeli prawdopodobieństwa zajścia poszczególnych zdarzeń są takie, jak na rysunku
6.3 (liczby przy opisach czynności), to prawdopodobieństwo zrealizowania zagrożenia
(nieupoważniona osoba dostała się do komputera i uruchomiła na nim sesję z upraw-
nieniami legalnego użytkownika) wynosi:
p=0,2*0,3 *0,3 *0,3 *0,4=0,00216
Rysunek 6.4. Przykładowe drzewo błędów
k k
wych) jest tworzone w przeciwnym kierunku niż drzewo zdarzeń. Rozpoczyna się
W analizie ilościowej drzewa błędów czyni się zwykle dwa założenia:
określonym skutkiem i rozwija w kierunku zdarzeń poprzedzających, pokazując wszy-
stkie możliwe kombinacje zdarzeń (w tym wypadku niepożądanych), które mogły 1. Zdarzenia funktora LUB wzajemnie się wykluczają.
doprowadzić do określonego skutku. 2. Wszystkie zdarzenia występujące w drzewie błędów są niezależne w sensie
Drzewa zdarzeń i drzewa błędów wykorzystuje się zarówno do analizy jakościo- probabilistycznym.
wej, jak i ilościowej. Po przeprowadzeniu analizy jakościowej (tj. bez oszacowania
prawdopodobieństw), pomagają one zorientować się w całym zakresie ryzyka i zro- Założenie 1 oznacza, że zdarzenie A na wyjściu funktora występuje wtedy, gdy
zumieć sytuację, której ryzyko dotyczy. Po przeprowadzeniu analizy ilościowej drze- występuje co najmniej jedno ze zdarzeń B ,, B 2 , ..., B„na wejściu tego funktora. W tym
wa zdarzeń i drzewa błędów pomagają wyznaczyć prawdopodobieństwa pewnych wypadku prawdopodobieństwo p ( A ) zdarzenia A wynosi:
zdarzeń lub ich ciągów. p (A ) = p ( B i) + p ( B 2) + ... + p ( B n)
Przykład 6.5. pod warunkiem, że zdarzenia B ,, B 2, .... B„ są rozłączne. W praktyce wyrażenie to
Drzewo błędów dla zdarzenia „zabezpieczenia korytarza przepuściły intruza” (z drze- stosuje się często do oszacowania prawdopodobieństwa p ( A ) również wtedy, gdy ten
wa zdarzeń w poprzednim przykładzie) może wyglądać jak na rysunku 6.4. Zdarzenia warunek nie jest spełniony. Aproksymację taką można uważać za zadowalającą, gdy
zaznaczone pogrubioną kursywą są w tym przykładzie zdarzeniami elementarnymi, poszczególne prawdopodobieństwa p ( B ,) } p ( B 2), .... p ( B n) są male. Niezależnie od
dla których (metodami przedstawionymi w tym rozdziale) musi zostać określone tego, czy zdarzenia B j, B 2, .... B„ są rozłączne, czy nie, prawdziwa jest nierówność:
prawdopodobieństwo wystąpienia. p ( A ) < p ( B , ) + p ( B 2) + ... + p ( B n)
która stosowana w praktyce prowadzi do zawyżenia prawdopodobieństwa zdarzenia A.
90 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 91
Drugie założenie, niezależności zdarzeń w drzewie błędów w sensie probabili- menda Główna Policji itp.) otrzymuje się prawdopodobieństwa uogólnione.
stycznym, oznacza, że jeżeli C jest wyjściem funktora I, a zdarzenia D h D 2, ..., D n Rzetelność otrzymanych wyników jest ograniczona zwykle niespójnymi meto-
pojawiają się na jego wejściu, to: dami klasyfikacji i gromadzenia takich danych oraz możliwą nieadekwatnością
p(C)=p( DI)p(D2)...p(Dn) do konkretnej analizy ryzyka.
• Z oszacowania dokonanego przez eksperta otrzymuje się oceny eksperckie,
bo w wypadku, gdy zdarzenia są zależne, zachodzi: wyrażane najczęściej w sposób opisowy. W wypadku korzystania przy oszaco-
p ( C ) = p ( D , ) p ( D 2/ D , ) ... p ( D , / D / D „ .i) waniach z ocen większej liczby ekspertów konieczne jest zastosowanie jakiejś
metody formalnej (np. delfickiej) do uśrednienia tych ocen. Praktyka wskazuje,
gdzie p ( D / D , D j) oznacza prawdopodobieństwo warunkowe zdarzenia D, pod wa-
że oceny ekspertów, czyli subiektywne szacowanie prawdopodobieństw zdarzeń
runkiem występowania koniunkcji zdarzeń £>/, ., D r W zagadnieniach analizy ryzyka rzadkich, mogą być obciążone dużymi błędami. Przyczyn tego można się doszu-
mówi się w tym wypadku o zdarzeniach mających wspólną przyczynę, tj. kilka kiwać m.in. w dramatyzowaniu niektórych zdarzeń w środkach masowego prze-
(różnych) zdarzeń następuje w sposób zależny w sensie probabilistycznym dlatego, że kazu, np. ujawnienie okolicznościowego wirusa lub włamanie do systemu kom-
mają tę samą przyczynę. Analiza ilościowa drzew błędów w takich wypadkach jest puterowego. Z tego powodu te zagrożenia (wirusy i hackerzy) są uważane za
trudna, ponieważ: najgroźniejsze dla systemu komputerowego i przetwarzanej w nim informacji,
- wspólną przyczynę trzeba wykryć; chociaż w praktyce okazuje się, że znacznie częstsze i groźniejsze w skutkach
- w wielu miejscach w drzewie błędów trzeba umieścić trudne do oszacowania mogą być np. ubytki wykwalifikowanego personelu.
prawdopodobieństwa warunkowe, wynikające z zależności zdarzeń;
- w wypadku zależności zdarzeń oddalonych (w drzewie błędów) wyznaczenie W [51 przytacza się różne sposoby określania subiektywnych ocen prawdopodo-
prawdopodobieństwa zdarzenia na szczycie drzewa jest skomplikowane. bieństwa zdarzeń rzadkich, gdy znane jest prawdopodobieństwo zajścia co najmniej
jednego z nich. Inną uznaną metodą określania prawdopodobieństw zdarzeń rzadkich
Założenie niezależności zdarzeń pozwala na uniknięcie wikłania się w prawdo- jest metoda delficka. W jednym z jej wariantów zbiera się szacunkowe prawdopodo-
podobieństwa warunkowe, co znacznie upraszcza oszacowania, a zwykle nie prowadzi bieństwa wystąpienia interesujących nas zdarzeń od ekspertów (nie mogą się w tej
do zbyt dużych błędów. sprawie ze sobą kontaktować). W wypadku braku zgodności otrzymanych od nich
ocen, uśrednia się zebrane oceny i listę z uśrednionymi wartościami rozprowadza się
Podstawowym założeniem i jednocześnie słabym punktem całej prezentowanej
wśród tych samych ekspertów z zapytaniem, czy po zapoznaniu się z ocenami są
tutaj metodyki jest przekonanie, że jeżeli skutkowi nie można przypisać prawdopodo-
skłonni uznać je za właściwe.
bieństwa w sposób natychmiastowy i bezpośredni, to skutek ten da się rozłożyć na
ciągi zdarzeń prowadzących do niego i znajdą się zdarzenia takie (nazywane Jeżeli eksperci zgodnie uznają przedstawione oceny za właściwe, przyjmuje się
elementarnymi), których prawdopodobieństwa są znane na podstawie doświad- je za wartości ostateczne prawdopodobieństw. Jeżeli nie, eksperci powinni się zebrać
czenia lub które można uzyskać od ekspertów z danej dziedziny. w jednym miejscu w celu przedyskutowania przyczyn rozbieżności i wypracowania
wartości końcowych prawdopodobieństw ocenianych zdarzeń rzadkich.
W szczególności możliwe są następujące sposoby uzyskania prawdopodobieństw
zdarzeń elementarnych:
6.5.2. Oszacowanie ryzyka - metoda jakościowa
• Prawdopodobieństwa obliczone na podstawie zbioru danych statystycznych (wytyczne raportu technicznego ISO/IEC TR 13335-3)
dotyczących danego zagrożenia, w znanym środowisku przetwarzania konkret-
nych informacji. Wymaga to prowadzenia np. dziennika eksploatacji systemu Z przyczyn przedstawionych w poprzednim rozdziale w praktyce najczęściej wy-
teleinformatycznego, obejmującego m.in. takie fakty, jak: sprzętowe awarie sys- stępują oszacowania jakościowe ryzyka, tj. bez operowania precyzyjnymi, liczbowymi
temu, nieudane próby logowania do systemu, awarie systemu na skutek wniknię- prawdopodobieństwami zajścia badanych zdarzeń. Zalecenie ISO/IEC TR 13335-
cia wirusów, włamania do systemu itd. 3:1997 [53] zawiera ogólnie uznawany zarys metodyki oszacowania jakościowego
ryzyka. W dalszej części rozdziału metodyka ta zostanie przedstawiona na przykła-
• Na podstawie danych ogólnych (gromadzonych do celów statystycznych przez
dach (6.6-6.9). W metodyce tej korzysta się z predefiniowanych zakresów wartości
niektóre organizacje, takie jak CERT, Komenda Główna Straży Pożarnej, Ko-
różnych parametrów procesu szacowania ryzyka, jak również z miar opisowych (np.
92 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 93
możliwość realizacji zagrożenia opisuje się jako niską, średnią lub wysoką). Do uzy- być dostosowany do potrzeb konkretnej firmy. Zaletą przedstawionego sposobu po-
skania konkretnych wartości stosuje się najczęściej metody ankietowe - właściciele stępowania jest możliwość porównania ryzyka.
informacji i inne osoby, których wiedza może się przydać w analizie ryzyka, wypeł-
niają odpowiednio przygotowane kwestionariusze. Jak powiązać ze sobą poziom za-
grożenia, poziom podatności zasobu oraz jego wartość w celu określenia potencjalne- Analiza ryzyka powinna dać też odpowiedź na pytanie, jakie zagrożenie jest naj-
go ryzyka, pokazuje przykład 6.6. niebezpieczniejsze w sensie poziomu i wagi niekorzystnych dla firmy skutków takiego
Przykład 6.6 zdarzenia (dla uproszczenia mierzonych zwykle wartością zasobów, których dotyczy).
Taki ranking zagrożeń może być potrzebny np. w celu redukcji zbioru możliwych za-
Założenia:
grożeń (skrócenia procesu analizy ryzyka). Sposób w jaki można przeprowadzić takie
1. Wartości zasobów zostały ocenione w skali liczbowej od 0 do 4. oszacowania, jest przedstawiony w przykładzie 6.7.
2. Zostały wypełnione ankiety, w których każdemu rodzaju wcześniej zidentyfiko-
Przykład 6.7
wanego zagrożenia i każdej grupie zasobów, których dotyczy zagrożenie:
W przykładzie użyto tabeli do połączenia punktowych miar skutków (mierzonych
a) przypisano miarę poziomu zagrożenia w skali (niski, średni, wysoki);
wartością zasobów, w skali od 1 do 5) i punktowych miar możliwości wystąpienia
b) przypisano miarę poziomu podatności zasobu w skali (niski, średni, wysoki). zagrożenia (poziomu - w skali od 1 do 5, uwzględniających podatności). Miarę ryzyka
3. Przyjęto arbitralnie punktową skalę miary ryzyka w postaci liczb całkowitych uzyskuje się, mnożąc odpowiednie komórki kolumn (b) i (c). W tym przykładzie 1
z przedziału 0-8. oznacza najmniejsze skutki i najmniejszą możliwość wystąpienia zagrożenia.
prac w zależności od wartości zasobów, poziomu zagrożenia i możliwości realizacji takie- Ostatnim etapem kompleksowej (tzn. obejmującej więcej niż jeden system telein-
go zagrożenia. Analiza może być prowadzona kolejno dla różnych zasobów składających formatyczny) analizy ryzyka w wariancie jakościowym jest zsumowanie wszystkich
się na dany system w celu uzyskania syntetycznego wskaźnika „priorytetu” systemu. wyników dla zasobów składających się na system i uzyskanie wskaźnika „priorytetu”
W tym celu wprowadza się kolejny parametr analizy ryzyka, odzwierciedlający możliwość dla systemu. Postępowanie to służy do zróżnicowania systemów i ustalenia prioryte-
realizacji zagrożenia, zależny od poziomu zagrożenia i łatwości wykorzystania określonej tów (który najpierw, a który może poczekać) ich zabezpieczania.
podatności. Na potrzeby przedstawionej tutaj analizy parametr ten opatrzymy nazwą
Przykład 6.9
szacowana możliwość realizacji (dalej w skrócie SMR) i będą mu przypisywane wartości
całkowite z zakresu 0-4. Przykłady 6.8 i 6.9 pokazują, jak można obliczyć wspomniany Załóżmy, że system S ma trzy zasoby: A l, A2 i A3. Załóżmy również, że istnieją dwa
syntetyczny wskaźnik „priorytetu” systemu, który powinien mieć wpływ na ustalenie ko- zagrożenia systemu S: Z1 i Z2. Wartość Al niech będzie równa 3, wartość A2 niech
lejności zabezpieczania poszczególnych systemów. wynosi 2, a wartość A3 = 4. Jeśli dla Al i Z 1 możliwość wystąpienia zagrożenia jest
niska, a łatwość wykorzystania podatności jest średnia, wtedy SMR równa się 1 (por.
Przykład 6.8
tabela 6.4).
W tym przykładzie uwzględniony jest kolejny parametr analizy ryzyka, SMR. Ocenia Wynik zasób/zagrozenie Al/Zl według tabeli 6.5 powstaje na przecięciu wartości 3
się go na podstawie poziomu zagrożenia i poziomu podatności. i częstotliwości 1, czyli równy jest 4. Podobnie, jeśli dla A1/Z2 możliwość wystąpie-
nia zagrożenia jest średnia, a łatwość wykorzystania podatności duża, wynik A1/Z2
Tabela 6.4. Poziomy zagrożenia i podatności a szacunkowa możliwość realizacji zagrożenia
równy jest 6. Wynik ostateczny A1Z = 10. Wskaźnik taki oblicza się dla każdego
zasobu i stosownego zagrożenia.
Poziomy zagrożenia Niski Średni Wysoki
Całkowity wskaźnik dla systemu oblicza się, sumując A1Z + A2Z + A3Z.
Poziomy podatności N Ś W N Ś W N Ś W
SMR 0 1 2 1 2 3 2 3 4
Przykład 6.10
Parametr SMR nie uwzględnia ani wartości zasobu, ani tym samym motywacji poten-
A i N oznaczają ryzyko akceptowalne i nieakceptowalne. Tabela z przykładu 6.8 może
cjalnego intruza (którego siła ataku na system w celu zdobycia określonego zasobu
być zmieniona następująco:
informacyjnego będzie determinowana atrakcyjnością tego zasobu). Aby to uwzględ-
nić, określa się, tak jak w tabeli 6.5, wskaźnik wartość_zasobu/zagrożenie poprzez Tabela 6.6. Akceptacja ryzyka szczątkowego
odszukanie przecięcia wartości zasobu i SMR. Wskaźnik ten może służyć do rozróż-
niania zasobów tworzących część systemu.
Wartość zasobu 0 1 2 3 4
Tabela 6.5. Ryzyko jako funkcja wartości zasobu i możliwości realizacji zagrożenia SMR
0 A A A A N
Wartość zasobu 0 1 2 3 4 1 A A A N N
SMR 2 A A N N N
0 0 1 2 3 4 3 A N N N N
1 1 2 3 4 5 4 N N N N N
2 2 3 4 5 6
3 3 4 5 6 7 Wyznaczenie granicy między ryzykiem akceptowalnym i nieakceptowalnym (tutaj
4 4 5 6 7 8 granica leży między 3 i 4), należy do kierownictwa firmy i jest to decyzja arbitralna,
która powinna być jednak podbudowana wynikami procesu analizy ryzyka.
96 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 97
Metodyka zgodna z zaleceniem [53] jest w dużym stopniu oparta na subiektyw- W Microsofcie do identyfikacji zagrożeń podczas eksploatacji wytwarzanego przez
nych miarach i ocenach. Subiektywne są: firmę oprogramowania jest stosowana klasyfikacja STRIDE. Klasyfikacja ta zawiera
zagrożenia związane z działaniami intruza, a jej nazwa jest akronimem następujących
- wartos'ci opisowe poziomów różnego typu;
określeń:
- przyjęte zakresy wartości miar liczbowych;
Spoofing Identity - podszywanie
- przyjęte przedziały wartości miar odpowiadających poszczególnym poziomom;
Tampering - manipulacja
- przyporządkowania konkretnych miar zagrożeniom, podatnościom, skutkom itp.
Repudation - zaprzeczanie
Przyporządkowania takiego dokonuje wybrany personel firmy podczas badań an-
kietowych. Analityk może narzucić konkretne miary opisowe oraz zakresy prze- Information Disclosure - ujawnienie informacji
działów, ale w końcu musi zaakceptować to, co podadzą mu pracownicy firmy. Denial-of-Services - blokada usługi
Elevation-of-Privilege - zwiększanie uprawnień
Nie istnieją żadne unormowania czy standardy traktujące o tym, jak ustalać po-
wyższe wartości. Skutkiem może być niepowtarzalność wyników procesu analizy Tabela 6.7. Mapowanie STRIDE na typy elementów DFD
ryzyka dla potrzeb bezpieczeństwa teleinformatycznego w zakresie wygenerowanych
konkretnych ocen i oszacowań. Niestety, przy braku danych statystycznych do osza- Typ elementu DFD S T R I D E
cowania rozkładu prawdopodobieństwa zdarzeń elementarnych dla potrzeb ilościowej Terminator (element zewnętrzny) X X
analizy ryzyka oraz braku danych od ekspertów (których opinie też są w dużej mierze
Przepływa danych X X X
subiektywne), oszacowania jakościowe ryzyka pozostają jedynym praktycznym spo-
Magazyn danych X X X X
sobem przeprowadzenia tego etapu procesu budowania systemu bezpieczeństwa
teleinformatycznego. Proces X X X X X X
Przykład 6.11
5. Ocena poziomu ryzyka.
Niniejszy przykład przedstawia metodykę analizy ryzyka firmy Microsoft dla wytwa-
Pod uwagę brane są następujące kryteria analizy zagrożenia:
rzanego oprogramowania (opracowano na podstawie [10]). Jest to analiza ryzyka z za-
kresu bezpieczeństwa oprogramowania i chociaż jest częścią cyklu wytwórczego, nie a) Rodzaj aplikacji: klient lub serwer;
należy jej mylić z analizą ryzyka projektu. Bezpieczeństwo oprogramowania jest b) Rodzaj dostępu: lokalny lub zdalny;
rozumiane jako oprogramowanie odporne na zagrożenia (głównie celowymi działa- c) Dostępność: anonimowa lub uwierzytelniana;
niami). Podstawowe etapy procesu modelowania zagrożeń to:
d) Stan domyślny: włączony lub wyłączony;
1. Ustalenie:
e) Wrażliwość danych: poufne lub identyfikujące tożsamość;
- „granic zaufania” badanej aplikacji (co jest pod naszą kontrolą jako projek-
f) Wrażliwość na atak DoS: tymczasowa (może kontynuować obsługę żądań po
tantów/programistów);
zaprzestaniu ataku) lub trwała (nie działa);
- „granic uprawnień” (miejsc, w których dane przechodzą między poziomami
g) Interakcja z użytkownikiem: jest lub brak.
uprawnień „niższy-wyższy” i na odwrót);
Do tak zdekomponowanego zagrożenia (przedstawianego zwykle w postaci drzewa,
- wymagań dotyczących bezpieczeństwa.
którego liśćmi są skutki realizacji zagrożenia) stosuje się system ocen o nazwie
2. Zidentyfikowanie tzw. scenariuszy użycia (aplikacji) i związanych z tym zagrożeń. DREAD, która to nazwa jest akronimem następujących określeń:
3. Wykonanie modelu DFD badanej aplikacji (używane elementy: terminator, prze- Damage Potential - potencjalne szkody
pływ danych, magazyn danych, proces)14. Reproducibility - powtarzalność
4. Ustalenie zagrożeń: STRIDE + mapowanie STRIDE na elementy DFD (tab. 6.7). Expoitability - możliwość realizacji
Affected Users - narażeni użytkownicy
14 Discoverability
Diagramy DFD są wykorzystywane także w L-RAC (załącznik). - wykrywalność.
m
Efektem powinno być przypisanie poziomu ryzyka, gdzie poziom 1. oznacza najwyż- 6. Planowanie środków łagodzących ryzyko. Do minimalizowania ryzyka nie-
sze, a poziom 4. najniższe ryzyko, przy czym przyjmuje się że: uprawnionych działań, związanego z jakąś' funkcją, stosowane są następujące
- ryzyka o poziomie 1. i 2. powinny zostać zminimalizowane na etapie wytwarza- metody:
nia produktu; - nierobienie niczego,
- ryzyka o poziomie 3. powinny zostać zminimalizowane przed skierowaniem - usunięcie funkcji,
produktu do dystrybucji; - wyłączenie funkcji,
- ryzyka poziomu 4. można minimalizować, jeśli są dostępne odpowiednie zasoby - ostrzeżenie użytkownika,
i pozwoli na to czas.
- odparcie zagrożenia przy użyciu odpowiedniej technologii (por. tabela 6.8).
Ocena jest wspomagana rankingami z biuletynów MSCR (M i c r o s o f t S e c u r ity R e s p o n -
•k A -k A
s e C e n te r ) .
Tabela 6.8. Przypisanie metod i technologii przeciwdziałania zagrożeniom STRIDE 6.5.3. Szacowanie ryzyka - analiza bezpieczeństwa systemów
sterowania
Typ zagrożenia Metoda Przykładowe technologie
„Moda” na widzenie wszystkich aspektów działalności biznesowej firmy przez
s Podszywanie uwierzytelnianie — uwierzytelnianie Kerberos pryzmat ryzyka, o której była już mowa na początku rozdziału 6, ma swoje przełoże-
użytkowników — uwierzytelnianie z użyciem cookie nie również na problematykę zapewniania odpowiedniej jakości produktów, które są
i informacji włączone w realizację kluczowych procesów biznesowych firmy i mających wpływ na
— podpisy cyfrowe
te procesy. Przykładem takich szeroko rozumianych „produktów” są systemy stero-
— systemy PK1
wania procesami produkcji lub systemy nadzoru i monitoringu. Systemy te należą do
T Manipulacja zapewnianie integralności — podpisy cyfrowe klasy systemów sterowania, tzn. takich, dla których, zgodnie z uznanymi standarda-
— listy ACL mi, w cykl życia wbudowuje się cykl życia bezpieczeństwa, którego etapem jest tzw.
— kody uwierzytelniające wiadomość analiza bezpieczeństwa.
Analiza bezpieczeństwa to proces, w którym oceniany jest poziom ryzyka zwią-
R Zaprzeczanie zapewnianie — silne uwierzytelnianie
zanego ze stosowaniem produktu/systemu i identyfikowane są mechanizmy występo-
niezaprzeczalnosci — zapisy w dziennikach wania wypadków. Zdarzenia prowadzące w sposób bezpośredni do wypadku nazywa
— bezpieczne datowniki się hazardami [45], [50], [69], W szczególności rozróżnia się:
— zaufane strony trzecie - hazard (ang. h a z a r d ) - przez który rozumie się sytuację mogącą spowodować
I Ujawnienie zapewnianie tajności — szyfrowanie śmierć lub obrażenia ludzi;
informacji - listy ACL - ryzyko (ang. r is k ) - które definiuje się jako miarę stopnia zagrożenia, wyrażającą
zarówno stopień szkodliwości hazardu, jak i prawdopodobieństwo jego wystą-
D Blokada usługi zapewnianie dostępności — listy ACL pienia.
— filtrowanie
— limitowanie Stosowane metody wykrywania hazardu to:
E Zwiększanie • FTA (ang. f a u l t t r e e a n a ly s is ) - może być wykorzystywana do analizy wstępnej
autoryzacja - listy ACL
uprawnień projektu, systemowej analizy ryzyka, analizy podsystemów a na etapie eksplo-
— konfiguracja praw dostępu atacji do analizy wypadków oraz projektowania modyfikacji systemu.
• SFTA (ang. s o f tw a r e f a u l t tr e e a n a ly s i s ) - zmodyfikowana do analizy oprogra-
mowania metoda FTA.
100 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 101
• FMEA oraz jej rozszerzenia o ocenę stanów krytycznych FMECA (ang. f a i l u r e Tabela 6.11. Klasyfikacja szkód
m o d e s , e ff e c ts a n d c r i t i c a l i ty a n a l y s is ) - przedmiotem metody może być zarówno
architektura, jak i proces realizacji systemu. Metoda FEMA jest zalecana przez Lp. Kategoria Opis
normę PN-93/N-50191. 1 Katastrofalne wiele ofiar śmiertelnych
• HAZOP (ang. h a z a r d a n d o p e r a b il i t y s t u d i e s ) - metoda ma charakter półformal- 2 Krytyczne pojedyncze przypadki śmiertelne i/lub liczne przypadki zranień lub
nej procedury inspekcji dokumentacji systemu, mającej na celu identyfikację od- liczne przypadki chorób zawodowych
stępstw od założonego działania i ocenę ich wpływu na bezpieczeństwo.
3 Duże pojedyncze przypadki zranień lub chorób zawodowych i/lub liczne
przypadki niewielkich zranień lub niegroźnych chorób zawodowych
Podczas realizacji powyższych zadań w ramach analizy bezpieczeństwa stosuje
się zwykle klasyfikację zaproponowaną w standardzie RTCA DO-178B, odnoszącą 4 Male pojedyncze przypadki niewielkich zranień lub niegroźnych chorób
się do szkód ponoszonych na zdrowiu przez ludzi. Klasyfikacja ta obejmuje: zawodowych
- klasyfikację ryzyk (używana m.in. w FMEA, por. tabela 6.9); 5 Nieznaczne brak szkód
- klasyfikację częstości zdarzeń (por. tabela 6.10);
- klasyfikację szkód (por. tabela 6.11). Tabela 6.12. Związki ryzyka ze szkodami i częstością zdarzeń
102 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 103
Tabela 6.13. Poziom y integralności zabezpicc/ch (imp. safely integrity level, SIL) - transfer ryzyka,
- retencję (zatrzymanie) ryzyka.
Poziom Praca start-stopowa: Praca ciągła:
integralności prawdopodobieństwo błędu prawdopodobieństwo błędu w ciągu godziny Wymieniona kolejnos'c jest umotywowana pogarszającym się wskaźnikiem na-
4 KU5 do 10 ^ 10 9 do 10 ~8 kładów czasu, wysiłku i kosztów do uzyskanych efektów kolejnych rozwiązań. Uni-
kanie ryzyka15 pozwala na pełne uwolnienie własnych zasobów bądź procesów od
3 10 do 10 3 10 ~8 do 10 “7
tego ryzyka.
2 10 3 do 10 “2 10 7 do 10
Jeżeli możliwości unikania ryzyka zostały wyczerpane, należy podjąć próbę kon-
1 10 2 do 10 10 “6 do 10 “5 trolowania go poprzez:
- prewencję, czyli oddziaływanie przez kontrolowanie podatności na możliwość
Zalecenia normy, dotyczące metod oceny bezpieczeństwa w zależności od po- realizacji zagrożenia;
ziomu integralności zabezpieczeń, są podane w tabeli 6.14: redukcję (minimalizowanie), czyli oddziaływanie na skutek realizacji zagroże-
nia, mające na celu zmniejszanie wielkości strat w wypadku wykorzystania po-
Tabela 6.14. Metody oceny bezpieczeństwa a poziomy integralności datności przez zagrożenie. Działania minimalizujące powinny być opisane w pla-
nach odtwarzania ciągłości działania (firmy, systemu teleinformatycznego itp.).
Metoda lub technika SILI SIL 2 SIL 3 SIL 4 Oddziaływanie to zwykle sprowadza się do realizacji odpowiednich procedur
1 Kwestionariusze ocen
szybkiego przywracania poprawnego działania systemów teleinformatycznych.
R R R R
2 Tablice decyzyjne i tablice prawdy R R R R Wobec ryzyk leżących bliżej lewego górnego rogu mapy ryzyka (niskie prawdo-
3 Miary złożoności programów R R R R podobieństwo zdarzenia, lecz katastrofalny skutek - por. rys. 6.2) działania będą
najskuteczniejsze i najwydajniejsze w zakresie zmniejszania PML - zwykle znacznie
4 Diagramy przyczynowo-skutkowe (CCD) R R R R
łatwiej będzie zmniejszyć PML o 1/3 (np. z 3 do 2 min zł) niż prawdopodobieństwo
4a Analiza drzewa zdarzeń (ETA) R R R R realizacji zagrożenia zmniejszyć np. z 3 do 2%. Powodowane jest to m.in. tym, że są
5 Analiza drzewa błędów (FTA) R R WR WR to najczęściej tzw. zdarzenia (zagrożenia) rzadkie, często związane z czynnikami
naturalnymi (trzęsienie ziemi, powódź, huragan), na które zwykle nie mamy wpływu.
6 Analiza rodzajów i skutków uszkodzeń (FMEA) R R WR WR
Z kolei ryzyka leżące blisko prawego dolnego rogu (częste, lecz mało dotkliwe
Analiza hazardu i gotowości systemu (HAZOP) R R WR WR
zdarzenia) wymagają zwykle działań zmniejszających prawdopodobieństwo realizacji
8 Modele Markowa R R R WR zagrożenia (oddziaływania na przyczyny), gdyż próba zmniejszenia każdej jednost-
9 Schematy blokowe niezawodności R R R R kowej szkody np. z 1000 do 700 zł będzie mało skuteczna i jednocześnie bardzo
kosztowna. Przykładem próby zmniejszenia jednostkowej szkody może być rezygna-
10 Symulacja (Monte Carlo) R R R R
cja ze stosowania oprogramowania antywirusowego na rzecz procedur naprawczych
R - rekomendowane, WR - wysoko rekomendowane po wykonanym ataku kodu lub programu złośliwego.
Gdy zostały wyczerpane możliwości kontrolowania ryzyka przez firmę i jeśli
6.6. Reakcja na ryzyko tzw. ryzyka rezydentne (ang. r e s id u a l r is k s , według Risk Management Standard),
czyli poziom ryzyka, które pozostało po zastosowaniu wcześniej wspomnianych
W literaturze (m.in. Risk Management Standard, AIRMIC) podaje się zwykle na-
stępujące możliwe reakcje na ryzyko (ang. r is k trea tm e n t)'. Na przykład odcięcie pracownikom dostępu do Internetu pozwala na uniknięcie ryzyka
- unikanie ryzyka, m.in. dostępu do agresywnych stron WWW lub ataku zdalnego. Podobnie przejście na
- kontrolowanie ryzyka, system typu Unix pozwala na uniknięcie ataku kodów i złośliwych programów utworzo-
nych do systemów Windows.
104 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 105
technik je minimalizujących, jest nadal zbyt wysoki, należy rozważyć przekazanie SPOSOBY REDUKCJI RYZYKA
tych ryzyk lub ich części, czyli ich transfer.
Podstawową zasadą transferu jest dokonywanie go do podmiotu, który potrafi ry-
zykiem zarządzać lepiej niż podmiot, który chce się ryzyka pozbyć. Do form przeka-
zywania ryzyk na zewnątrz należy: UNIKANIE KONTROLOWANIE TRANSFER
RYZYKA RYZYKA RYZYKA
- outsourcing tych funkcji firmy, które są obarczone ryzykiem niewspółmiernie
wysokim w stosunku do wartości dodanej przez nie, np. oddanie w outsourcing
utrzymywania firmowych stron WWW lub utworzenie centrum zapasowego dla
firmowego ośrodka komputerowego na zasadzie kolokacji lub hostingu;
Prewencja poprzez zastosowanie Minimalizowanie poprzez
- pozostawienie funkcji (procesów, majątku trwałego) w firmie, a wyprowadzenie
wdrożenie planów zapewniania
samego ryzyka poza firmę - często odbywa się to przez współuczestniczenie ZABEZPIECZEŃ ciągłości działania
partnera zewnętrznego w ryzyku16;
- ubezpieczenie ryzyka.
2. Zabezpieczenia sprzętowo-programowe informacji przetwarzanej, przechowy- 1. Wybrać cele stosowania zabezpieczeń i zabezpieczenia jako środki postępowania
wanej i przesyłanej w systemach teleinformatycznych: z ryzykiem spośród zamieszczonych w załączniku A normy.
- wbudowane w oprogramowanie systemowe lub użytkowe; 2. Cele stosowania zabezpieczeń i zabezpieczenia należy wybrać i wdrożyć w taki
- dodane do systemu teleinformatycznego jako oddzielne produkty, realizujące sposób, aby spełniały wymagania zidentyfikowane w procesach szacowania ry-
wyłącznie funkcje ochronne. zyka i postępowania z ryzykiem. Wybierając, należy brać pod uwagę kryteria ak-
ceptacji ryzyka, jak również wymagania prawne, wymagania nadzoru oraz zo-
Cecha charakterystyczna różniąca zarządzanie ryzykiem np. w finansach (gdzie bowiązania wynikające z umów.
przedmiotem analizy są pieniądze) od zarządzania ryzykiem związanym z przetwarza-
niem informacji w firmie (gdzie przedmiotem analizy jest informacja) to znaczenie Zamieszczone w załączniku A normy 133 zabezpieczenia (nazywane dalej nor-
zabezpieczeń, zwłaszcza sprzętowo-programowych w wypadku informacji. Wynika to matywnymi, por. także rozdział 8) są podzielone na następujące grupy (numeracja
z faktu, że podstawowym elementem systemu informacyjnego, dla którego prowadzi się zgodna z numeracją w załączniku; w nawiasach podano liczbę zabezpieczeń wyspecy-
taką analizę ryzyka, jest zwykle system teleinformatyczny. Budowa systemu ochrony fikowanych w każdej grupie):
informacji powinna zacząć się na etapie projektowania systemu teleinformatycznego. 1) A.5. Polityka bezpieczeństwa (2)
Podstawą prac projektowych jest specyfikacja wymagań (por. rozdział 9), gdzie jedną 2) A.6. Organizacja bezpieczeństwa informacji (11)
z grup wymagań są zwykle wymagania związane z zapewnieniem właściwej ochrony
3) A.7. zarządzanie aktywami (5)
informacji przetwarzanej w takim systemie. Wymagania te spełnia się poprzez:
4) A.8. Bezpieczeństwo zasobów ludzkich (9)
- odpowiednią architekturę takiego systemu;
5) A.9. Bezpieczeństwo fizyczne i środowiskowe (13)
- zastosowanie elementów sprzętowo-programowych (zabezpieczeń);
6) A. 10. Zarządzanie systemami i sieciami (32)
właściwe zarządzanie eksploatacją takiego systemu (zabezpieczenia organizacyjne).
7) A.l 1. Kontrola dostępu (25)
Problem unikania ryzyk także powinien zostać rozwiązany na etapie projektowania 8) A. 12. Pozyskiwanie, rozwój i utrzymywanie systemów informacyjnych (16)
systemu teleinformatycznego poprzez jego odpowiednie zaprojektowanie. Na przykład 9) A. 13. Zarządzanie incydentami związanymi z bezpieczeństwem informacji (5)
osadzenie go na platformach linuksowych pozwala na unikanie zagrożeń związanych
10) A. 14. Zarządzanie ciągłością działania (5)
z systemami windowsowymi, a przetwarzanie i przechowywanie informacji na wydzie-
lonych (z sieci) stacjach roboczych pozwala na uniknięcie ataków zdalnych. 11) A.15. Zgodność —CIO)
RAZEM: 133
Podczas implementacji zabezpieczeń warto pamiętać o podstawowej zasadzie:
jeżeli muszą być przedsięwzięte działania związane z budową zabezpieczeń, należy Repertuar środków zaprezentowany w załączniku A jest zbiorem bazowym,
określić największe ryzyko i starać się je minimalizować najmniejszym kosztem, z którego należy wybrać podzbiór środków do wdrożenia i utrzymywania. Nie jest to
z minimalnym wpływem na realizacje innych funkcji firmy. zbiór wyczerpujący, tzn. należy zawsze rozważyć, czy w odniesieniu do konkretnego,
Ze względu na znaczenie na całym świecie serii norm ISO/IEC 27000 w przed- poddawanego analizie środowiska nie ma potrzeby zastosowania innych zabezpieczeń.
sięwzięciach związanych z zarządzaniem bezpieczeństwem informacji poniżej podano Warto także zauważyć, że w normie opisuje się system zarządzania, a nie ma systemu
zabezpieczeń (systemu bezpieczeństwa) - współzależność między zabezpieczeniami
interpretację redukcji ryzyka w kontekście normy PN-ISO/IEC 27001:2007.
nie jest rozważana.
Rozpoczęcie realizacji tego procesu oznacza, że zbiór ryzyk został już przejrzany
Zabezpieczenia normatywne są specyfikacją zabezpieczeń na wysokim poziomie
i podjęto decyzję, których będzie się unikać. Do pozostałych, zgodnie z ogólnie uzna-
nymi zasadami postępowania z ryzykiem, próbuje się dobrać zabezpieczenia, aby je ogólności. Na przykład opis zabezpieczenia A.l 1.4.2 (uwierzytelnianie użytkowników
zminimalizować. przy połączeniach zewnętrznych) jest następujący: p r z y d o s t ę p i e z d a ln y c h u ż y tk o w n i -
k ó w n a le ż y s t o s o w a ć o d p o w i e d n i e m e t o d y u w ie r z y t e l n ia n ia . Norma nie podaje typu
Jednym z możliwych rozwiązań tego problemu jest skorzystanie ze schematu po-
uwierzytelniania - za pomocą haseł zwykłych, jednorazowych, tokenów? Nie należy
stępowania wpisanego w normę PN-ISO/IEC 27001:2007. Zgodnie z zapisami w pun- się także spodziewać, że norma wskaże koszt lub producenta takiego zabezpieczenia
kcie 4.2.g) tej normy, należy:
108 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 109
(tokena). Norma PN-ISO/IEC 27001:2007 może być zatem przydatna wyłącznie do Tabela 6.15. Wzór zbiorczego dokumentu - produkt wyjściowy etapu kontrolowania ryzyka
wyspecyfikowania wymaganych typów zabezpieczeń. (za [36])
W celu zachowania zgodności z zaleceniami normy PN-ISO/IEC 27001:2007
sugeruje się:
1. Określić (na podstawie zbioru ryzyk uporządkowanych według wagi oraz załącz-
nika A normy PN-ISO/IEC 27001:2007) zabezpieczenia normatywne.
2. Rozważyć, czy nie są potrzebne inne zabezpieczenia niż wymienione w załącz-
niku A.
3. Jeżeli analiza ryzyka jest prowadzona dla systemu już eksploatowanego, należy
ustalić, które ze zidentyfikowanych zabezpieczeń technicznych są już wbudowa- 1W postaci pary: zagrożenie - podatność.
ne lub dodane do systemu. To samo należy ustalić w odniesieniu do wdrożonych Wybrane spośród rekomendowanych działań zabezpieczających - por. załącznik A w normie
zabezpieczeń natury organizacyjnej. PN-I-07799.
4. Dobrać konkretne zabezpieczenia techniczne (sprzętowe i programowe, np.
produkt o wymaganych cechach użytkowych i technicznych, konkretnej cenie, 6.6.2. Akceptacja ryzyka szczątkowego
dostarczony przez określonego producenta) oraz wskazać wymagane zabezpie- Podstawowym zadaniem procesu akceptacji ryzyka szczątkowego jest ustalenie
czenia organizacyjne. wartości progowych PML oraz wartości progowych częstości (prawdopodobieństw,
5. Wykonać analizę koszty/korzyści, polegającą na: możliwości). Dwa najpopularniejsze podejścia to:
- oszacowaniu możliwych strat, jeżeli nie zostaną wprowadzone żadne zabez- tolerancja1* na ryzyko,
pieczenia i zrealizują się wszystkie zagrożenia; - wartości progowe.
- obliczeniu kosztów zabezpieczeń technicznych;
- oszacowaniu kosztów wprowadzenia zabezpieczeń organizacyjnych; W pierwszym wypadku należy określić, jakie maksymalne straty w ciągu roku
firma może ponieść, aby jeszcze zachować zdolność operacyjną i konkurencyjną.
- oszacowaniu nakładów łącznych zabezpieczeń i sprawdzeniu, czy są akcep- Dysponując wartością maksymalnych rocznych strat, można na mapie ryzyka naryso-
towalne przy zadanym wskaźniku nakładów na postępowanie z ryzykiem17. wać krzywą obrazująca próg tolerancji firmy na ryzyko - ryzyka ponad krzywą nie są
6. W wypadku nieakceptowalnych kosztów należy zminimalizować w pierwszej tolerowane, pod krzywą są akceptowane. Na przykład firma mogąca samofinansować
kolejności koszty zabezpieczeń przez zmianę produktu lub dostawcy. Następnie roczne straty rzędu 100 tys. zł:
można poszukiwać alternatywnych rozwiązań w ramach zabezpieczeń norma- dla zdarzeń „raz na 4 lata” (0,25) będzie miała tolerancję rzędu 400 000 zł,
tywnych.
- dla zdarzeń „raz na 10 lat” (0,1) tolerancja wynosi 1 000 000 zł itd.
7. Po optymalizacji kosztów otrzymuje się listę zabezpieczeń rekomendowanych do
wdrożenia. W drugim wypadku, zwłaszcza gdy oszacowania mają być bardziej precyzyjne
niż „akceptowalne” i „nieakceptowalne” oraz przewiduje się stosowanie miar opiso-
Przykładem dokumentu wynikowego z realizacji zadania redukcji ryzyka może
wych typu: „małe”, „średnie”, „duże”, „prawdopodobne”, „mało prawdopodobne”
być szablon przedstawiony w postaci tabeli 6.15.
itp., należy zdefiniować tzw. wartości progowe dla:
- PML - określające, gdzie przebiega granica między stratą „małą” a „średnią”,
„średnią” a „dużą” itd.; w zastosowaniach praktycznych stosuje się najczęściej
zbiór parametrów i wskaźników finansowych firmy - często wykorzystuje się
odniesienia do przychodów rocznych firmy oraz do jej rocznych zysków;
17 18
Trzeba będzie zapewnić s'rodki finansowe także na ewentualny transfer ryzyka. W żargonie menedżerów ryzyka nazywana często apetytem.
prr
110 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 111
- możliwości (potocznego „prawdopodobieństwa” lub częstości) - dających pod- - lewy górny obszar - ryzyka, które należy w pierwszej kolejności redukować
stawy do podjęcia (lub nie) określonych działań przez firmę. Progi te mogą zo- (zmniejszać szkody powstałe w razie realizacji),
stać okres'lone „zdroworozsądkowo” lub bardziej formalnie, z wykorzystaniem - prawy dolny obszar - ryzyka, dla których należy obniżać częstość wywołują-
mediany19 oraz górnego i dolnego kwartyla z wartości prawdopodobieństwa cych je zdarzeń,
wszystkich analizowanych ryzyk. - lewy dolny obszar - ryzyka akceptowalne.
niezbędnych do osiągnięcia Standardy zarządzania ryzykiem, takie jak brytyjski Risk Management Standard
zadanego poziomu [65], australijski ASNZ 4630 czy amerykański COSO ERM Framework, nie definiują
bezpieczeństwa finansowania ryzyka jako konkretnego, odrębnego etapu czy elementu całego procesu
zarządzania ryzykiem. Zarządzanie ryzykiem byłoby jednak niekompletne bez rozwa-
______ 4______
żenia źródeł i sposobów jego finansowania. Dwa zasadnicze zadania procesu finanso-
Analiza kosztowa wania ryzyka to:
< - zidentyfikowanie optymalnego kosztu ryzyka i sposobu jego finansowania,
_______ X_______ I
- zidentyfikowanie źródła (źródeł) finansowania ryzyka i wybranie optymalnego.
Koszty N Zmiana środków
akceptowalne? ochronnych Świadome i skuteczne finansowanie ryzyka wymaga dobrej wiedzy na temat
V T „portfela” ryzyk przedsiębiorstwa, w tym znajomości statystyki ryzyk już kiedyś
zaistniałych oraz znajomości stanu i skuteczności działań wówczas podjętych w celu
Oszacowanie pozostałego ryzyka
kontrolowania ryzyka. Firma musi mieć jasno sprecyzowany obszar każdego ryzyka,
którego sama nie potrafi skutecznie kontrolować ani przekazać swoim kontrahentom
X biznesowym, czyli musi dysponować wiedzą na temat tzw. ryzyka szczątkowego
i zakresu jego akceptacji.
Podjęcie decyzji, które z pozostałych ryzyk
zostaną transferowane Przykład 6.12
Jeżeli zarząd firmy przyjmuje do wykonania jedynie takie sposoby postępowania
Podjęcie decyzji, które z pozostałych ryzyk z ryzykiem, których koszt nie przekracza wskaźnika 1:4, to dla zidentyfikowanych
zostaną zatrzymane ryzyk można wykonać tabelę obrazującą łączne nakłady na postępowanie z ryzykiem,
które dla zarządu firmy są akceptowalne. Przykład to tabela 6.16.
Akceptacja ryzyka szczątkowego
116 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 1 17
Monitorowanie powinno być wykorzystane do przyspieszania i polepszania jako- lub sieciowe (dla wielu rozproszonych użytkowników z różnymi prawami dostępu)
ści decyzji dotyczących zarządzania firmą na wszystkich szczeblach oraz wyciągania Przykłady takich programów [31]:
wniosków z popełnianych w tym zakresie błędów. Raportowanie natomiast ma na celu - Enterprise Risk Assessor (Methodware, Nowa Zelandia)
dostarczenie udziałowcom podstaw do oceny zarządu i kierownictwa firmy. Ścieżka
- Risk Register (Noweco, Nowa Zelandia)
raportowania jest zwykle następująca:
- J-Port (Portiva, Kanada)
• Każdy pracownik raportuje „kluczowe wskaźniki ryzyka” do właściwego „wła-
ściciela ryzyka”, który na ich podstawie podejmuje decyzje, czy należy zmienić - Securac (Acertus, Kanada)
sposób reagowania na to ryzyko (na tym poziomie raportowanie powinno być - Know Risk (CorProfit, Australia)
częste i regularne). - Risk Decisions (Predict!, Wielka Brytania)
• Właściciele ryzyk o mniejszej istotności raportują swoje ryzyka zarządowi, który - International Security Technology (CORA, Stany Zjednoczone).
ocenia i ewentualnie koryguje ich decyzje (na tym poziomie raportowanie może
być okresowe, np. co kwartał). 6.7.1. Zadania, czynności i zakresy kompetencji - organizacja
• Zarząd w rocznym sprawozdaniu dla udziałowców umieszcza informacje o stanie procesu zarządzania ryzykiem
ryzyk, za które sam odpowiada20 (ryzyka o największej istotności), o sposobie Zalecenia dotyczące administrowania ryzykiem komplikują się w wypadku próby
i skutkach zarządzania nimi, a także wspomina o ryzykach o mniejszej istotności, zastosowania ich w praktyce. Komplikacje te wynikają przede wszystkim z istnieją-
o których wiadomo, że ich właściciele mają trudności z ich skutecznym kontro- cych w firmie, konkretnych rozwiązań struktury organizacyjnej (zdefiniowanej zwykle
lowaniem. w dokumencie pod często spotykaną nazwą „Regulamin organizacyjny”) i związanych
z tą strukturą:
Stosowanym zwykle narzędziem do jednoczesnego monitorowania i raportowa-
nia ryzyk jest tzw. rejestr ryzyka. Zaleca się [31] zainicjowanie go na etapie identyfi- - zdefiniowaniem ról w firmie;
kacji ryzyka. Jest to zwykle baza danych, zawierająca wszystkie informacje odnoszące - rozdziałem zakresów obowiązków i odpowiedzialności;
się do zidentyfikowanych ryzyk: wykaz i stan ryzyk, zmiany w czasie, sposoby postę- sposobem finansowania zadań (kto dysponuje finansami, jakimi i na jaki cel).
powania z ryzykiem (w tym nazwiska osób odpowiedzialnych za to postępowanie),
koszty postępowania z ryzykiem itp. Rejestr ryzyka może również prezentować zda- Sprawy skomplikują się jeszcze bardziej, gdy uwzględni się, np. zgodnie z od-
rzenia związane z zarządzaniem ryzykiem (w tym terminy, np. harmonogramu bu- powiednimi regulacjami prawnymi, wszystkie osoby uwikłane w procesy zapewniania
dowy systemu zabezpieczeń), a także służyć do oceny jakościowej - porównania, jak odpowiedniej ochrony przetwarzanej informacji. W wypadku tylko informacji niejaw-
sobie radzą z podobnymi ryzykami różne oddziały tej samej firmy - oraz przyporząd- nych, zgodnie z ustawą o ochronie informacji niejawnych i wydanym do tej ustawy
kowania ryzyk do konkretnych celów biznesowymi firmy. Zwykle do prowadzenia rozporządzeniem w sprawie podstawowych wymagań bezpieczeństwa systemów
rejestru ryzyka używa się specjalistycznego oprogramowania. i sieci teleinformacyjnych, będą to:
Również inne elementy zarządzania ryzykiem mogą być (i najczęściej są) kom- kierownik jednostki organizacyjnej,
puterowo wspomagane. Programy są zwykle projektowane tak, aby spełniać wymogi pełnomocnik ds. ochrony informacji niejawnych,
prawne, standardy narodowe lub międzynarodowe (np. SOX, COSO, Basel II,
- inspektor bezpieczeństwa teleinformatycznego,
ISO/IEC-17799 itp.), zalecenia i/lub dobre praktyki. Oprogramowanie jest sprzeda-
wane w różnych wersjach, dla różnej liczby użytkowników - od wersji najprostszej - administrator systemu,
dla jednego użytkownika aż po rozwiązania klient/serwer oparte na technologii ODBC - kierownik kancelarii tajnej.
Od strony technicznej, osobami odpowiedzialnymi za praktyczne zapewnienie (w tym dostęp do odpowiednich dokumentów) można znaleźć także w rozdziale
bezpieczeństwa informacji przetwarzanych w systemach IT będą: drugim w [ 16|. Zawartość tabeli 6.17 jest przykładem możliwego rozwiązania sygnali-
zowanego problemu dla firmy, w której są wyznaczone stanowiska jak w kolumnie
- osoba kierująca działem IT,
pierwszej.
- administratorzy techniczni: serwerów, sieci, stacji roboczych.
Tabela 6.17. Udziałowcy procesu zarządzania ryzykiem i zakresy kompetencji
Od strony operacyjnego zarządzania firmą do procesów zapewniania bezpieczeń-
stwa teleinformatycznego będą włączeni:
Udziałowiec Zakres kompetencji Uwagi
- kierownicy komórek organizacyjnych,
Zarząd firmy ryzyka o największej wadze; nie więcej niż sześć Wśród tych sześciu
- forum kierowania polityką bezpieczeństwa21.
może się znaleźć
ryzyko
Pytania, na które należy odpowiedzieć, to: „informacyjne”.
• lak powinny być ustalone zakresy odpowiedzialności, kontroli i nadzoru w za-
Firmowy menedżer ocena ryzyk, w tym ryzyka „informacyjnego”, Jeśli w firmie jest
kresie bezpieczeństwa teleinformatycznego? i nadanie im priorytetów takie stanowisko.
ryzyka
• lak powinny być ustalone zakresy odpowiedzialności, kontroli i nadzoru w za- biznesowego
kresie zarządzania ryzykiem, w szczególności ryzykiem z obszaru 1T? właściciel ryzyka „teleinformatycznego”,
Dyrektor u m ow n a n a zw a
• Czy i jakie funkcje z poszczególnych stanowisk (operacyjnych i kierowniczych departamentu IT monitorowanie tego ryzyka i działań je sta n o w is k a
IT, firmowych struktur bezpieczeństwa, firmowych struktur zarządzania ryzy- kontrolujących,
kiem), dotyczące bezpieczeństwa teleinformatycznego i zarządzania ryzykiem, raportowanie pełnomocnikowi ds.
mogą być łączone w ramach jednego stanowiska? bezpieczeństwa
• Czy i jakie funkcje z poszczególnych stanowisk (operacyjnych i kierowniczych Pełnomocnik ds. właściciel ryzyka „informacyjnego”, um ow na n a zw a
IT, firmowych struktur bezpieczeństwa, firmowych struktur zarządzania ryzy- bezpieczeństwa monitorowanie tego ryzyka i działań je stan ow isk a
kiem), dotyczące bezpieczeństwa teleinformatycznego i zarządzania ryzykiem, kontrolujących, Przyjęto, że ryzyko
mogą być rozdzielone i między jakie stanowiska? raportowanie firmowemu menedżerowi ryzyka informacyjne
• Czy budżet na zarządzanie bezpieczeństwem teleinformatycznym i zarządzanie biznesowego zawiera ryzyko
ryzykiem to jeden (ten sam) budżet? teleinformatyczne.
• laki jest rozdział środków na zarządzanie bezpieczeństwem teleinformatycznym Administrator monitorowanie ryzyka teleinformatycznego um ow n a na zw a
(w tym jaka część tych środków jest przeznaczona na zarządzanie ryzykiem te- bezpieczeństwa i działań je kontrolujących. stan ow isk a
leinformatycznym), w wypadku jednego budżetu; teleinfor- raportowanie pełnomocnikowi
matycznego ds. bezpieczeństwa
• Czy budżet na zapewnianie działalności operacyjnej działu IT zawiera wyżej
wymienione budżety, czy też są one odrębne? implementacja zabezpieczeń, monitorowanie
Administratorzy
techniczni sieci, poprawności i skuteczności ich działania,
Wydaje się, że ustalenie a priori, kto powinien być właścicielem ryzyka, kto po- serwerów, stacji
winien odpowiadać za bezpieczeństwo teleinformatyczne, jak powinno być realizowa- raportowanie zagrożeń i podatności dyrektorowi
roboczych departamentu IT
ne współdziałanie itp., nie jest możliwe. Będzie to zależało od konkretnych, przyję-
tych w firmie rozwiązań organizacyjnych. Można mówić najwyżej o pożądanym
modelu w tym zakresie - pewnych wskazówek może dostarczyć np. dokument [36J. W rozwiązaniu problemu nie pomogą także uznane normy. Na przykład w [56],
Interesującą dyskusję na zbliżony temat ról oraz zapotrzebowania na informację w załączniku normatywnym A, gdzie są wyspecyfikowane cele stosowania zabez-
pieczeń i zabezpieczenia, pisze się tylko (A.4.1.3): o d p o w i e d z i a l n o ś ć z a o c h r o n ę
21
Nazwa za PN-ISO/IEC-17799 [54],
12 0 Analiza ryzyka i ochrona informacji w systemach komputerowych O ryzyku i zarządzaniu ryzykiem 121
- Zadania: d z a n ia r y z y k ie m b y ł z in t e g r o w a n y z a r ó w n o z. p r o c e s a m i z a r z ą d z a n ia p r z e d s i ę w z i ę -
- identyfikacja i analiza zagrożeń dla tajności, integralności, dostępności in- Zgodnie z wytycznymi zawartymi
c ie m , j a k i z p r o c e s a m i z w i ą z a n y m i z w y r o b e m .
formacji; w [65], wykonanie tego zadania wymaga dogłębnej znajomości firmy, rynku, na którym
- ustanawianie i wdrażanie zasad zapewniania tajności, integralności i do- działa, oraz środowiska gospodarczego, politycznego i społecznego. Osoba przeprowa-
stępności informacji w firmie oraz kontrolowanie przestrzegania tych zasad. dzająca analizę ryzyka powinna znać i rozumieć strategiczne i operacyjne cele działalno-
ści firmy, a także znać wyniki analizy SWOT dla firmy i związanego z nią rynku.
Przy takim podziale:
Niniejsze opracowanie dotyczy jednak nie ryzyka biznesowego (chociaż kontekst
1. Właściciele ryzyk podprocesów 1) i 2) raportują je do właściciela ryzyka podpro-
biznesowy jest w nim mocno zaznaczony), lecz „wycinkowego” ryzyka związanego
cesu 3), a ten po „scaleniu” i uzupełnieniu raportuje jako kompletne ryzyko PPPI
z eksploatacją firmowych systemów informatycznych oraz z budową systemu ochrony
do menedżera firmowego.
informacja przetwarzanej w takich systemach. Mając na uwadze koszty i słabości
2. Nie ma kłopotu z budżetem: procesu analizy ryzyka, podkreślane w wielu miejscach niniejszego opracowania
1) Właściciel ryzyka podprocesu 1) dostaje środki na utrzymanie infrastruktury (i omawiane m.in. także w [15], [18], [19]), należy się zastanowić, czy nie ma alterna-
IT oraz odpowiednią organizację pracy. tywy dla analizy ryzyka, przynajmniej w odniesieniu do ryzyka związanego z prze-
2) Właściciel ryzyka podprocesu 2) dostaje środki na organizację pracy podległej twarzaniem informacji w systemach informatycznych. Wydaje się, że alternatywą
komórki, w tym na realizację zadań związanych z PPPI (telefony, sejfy, faksy, w tym zakresie może być audyt bezpieczeństwa teleinformatycznego. Jeżeli spojrzy
drukarki, kopiarki itd.). się na taki audyt i alternatywną analizę ryzyka przez pryzmat produktów wejściowych
3) Właściciel ryzyka podprocesu 3) dostaje środki na: i wyjściowych do tych przedsięwzięć, to okaże się, że:
- analizę ryzyka w zakresie bezpieczeństwa informacji; 1) Produkty wejściowe procesu analizy ryzyka to:
za wariant jakościowej analizy ryzyka. W procesie audytu ryzyko, związane z prze- Rozdział 7
twarzaniem informacji w audytowanej organizacji, analizowane jest z użyciem:
wiedzy uogólnionej (np. w postaci standardów i zautomatyzowanych narzędzi
do testów penetracyjnych) oraz
O testowaniu i audycie
wiedzy eksperckiej (w postaci heurystycznych testów penetracyjnych).